以下內容來自www.rootkit.com
driver hidding based on the following methods:
1.removing module form psloadedmodulelist(that passed some old rkdectors)
2.removing object from objectdirectory(that bypassed gmer,icesword and some others)
3.removing module from driverobjects
4.removing module form deviceobjects
5.memzero form pobject_header(that finally bypasses darkspy)
6.fake thread start address(to be sured that antirootkit wil not show "unknown thread")
7.using non usual wait funciton to bypass "stealth walker" detection method of our rootkit unhooker antirootkit.
***********************************=我是**的分割線******************************====
以下內容來自killvxk:
"hideobject和斷鏈(typelist和moduledist都斷開了)都已經有了~
另外把iodeviceobjecttype的copy了,之後重寫自己的object_header~~
嘿嘿~~
目前列舉驅動要用猥瑣新技術~
記憶體fileobject和sectionobject查詢~~
結合pe格式~"
隱藏驅動的方法基本都在上面了~
當然,這裡說的是「正統」的隱藏方式,而不是像reloadandrun那麼**的東西~~
各位還需要更詳細的嗎?
DKOM隱藏驅動
dkom direct kernel object manipulation 就是直接核心物件操作技術。所有的作業系統都在記憶體中儲存記賬資訊,他們通常採用結構或物件的形式,由物件管理器管理。當使用者空間程序請求作業系統資訊例如程序 執行緒或裝置驅動程式列表時,這些物件被報告給使用者。這些物件或結構...
Linux 隱藏驅動模組
作為惡意驅動,肯定是希望自己模組載入之後不會被發現,那麼就需要對安裝的驅動模組進行隱藏,在驅動初始化入口進行摘鏈,kobject del 函式刪除當前模組的kobject就可以起到在 lsmod 和 sys module中隱藏。list del init this module.list test....
隱藏驅動模組 原始碼
xp親測有效,使用我們自己編寫的列舉驅動模組會看不到。列舉驅動模組請看文章 但是使用ark工具依然能看到我們隱藏的驅動某塊,比如kernel detective 和pchunter 但是隱藏的驅動模組為紅色,意為ark工具檢測到了該模組進行了隱藏 include typedef unsigned l...